Koniec Safe Harbourczyli na co uważać wybierając dostawcę usług cloud computing

Spis treści

1.  Niebezpieczna chmura zza oceanu

2.  Przetwarzanie danych osobowych - definicje

3.  Kto czuwa nad przetwarzaniem danych w Polsce?

4.  Kiedy administrator może przekazać dane?

5.  Przekazanie danych osobowych do Państw trzecich

6.  Zagrożenia związane z przechowywaniem danych za granicą

7.  Przechowywanie danych poza UE – przypadek USA

8.  Kogo dotyczy Safe Harbour?

9.  Beyond.pl - Bezpieczna chmura obliczeniowa

www.beyond.pl

Niebezpieczna chmura zza oceanu

www.beyond.pl

6 października 2015 Trybunał Sprawiedliwości UE unieważnił decyzję pozwalającą na swobodny transfer danych osobowych z UE do USA, uznając założenia programu Safe Harbour jako nie wystarczające w kwestie zachowania odpowiedniego poziomu bezpieczeństwa danych. 

Tym samym zakwestionowano zgodność dostawców usług cloud computing z USA z europejskimi wymogami dotyczącymi przetwarzania i przechowywania danych osobowych, szczególnie z dyrektywą 95/46/WE1.

Oznacza to, że kto wybiera usługi cloud computing firm spoza krajów EOG (Europejski Obszar Gospodarczy: kraje UE oraz Islandia, Liechtenstein, Norwegia) i wykorzystuje je do przechowywania danych osobowych łamie zasady ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych wg ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Zgodnie z mającymi wejść w życie przepisami kara za podobne postępowanie może wynieść do 1 mln euro lub 5% dochodu firmy.

www.beyond.pl

Dane osobowe – są to wszelkie informacje dotyczące konkretnej osoby, za pomocą których bez większego wysiłku można tę osobę zidentyfikować, chociaż nie jest ona wyraźnie wskazana (np. PESEL, adres e-mail w niektórych przypadkach także IP).

Przetwarzanie danych – jakiekolwiek operacje wykonywane nadanych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Kto uczestniczy w procesie przetwarzania danych?

1. OSOBA – której dane dotyczą2. ADMINISTRATOR – kontroluje zarządzanie danymi 3. PRZETWARZAJĄCY dane – w kontekście chmury będzie to najczęściej dostawca usługi cloud computing

Przetwarzanie danych osobowych - definicje

www.beyond.pl

W Polsce legalność przetwarzania danych jest uwarunkowana zapisami w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997r. oraz wydanymi na jej podstawie aktami wykonawczymi – rozporządzeniami Ministra Spraw Wewnętrznych i Administracji.

Firmy mogą zainteresowane przetwarzaniem danych w chmurze mogą skorzystać również ze wskazówek i rekomendacji grupy roboczej art. 29 oraz poradników wydawanych przez GIODO podkreślających istotność administracji danymi zgodnie z wymogami UE.

Główny problem związany z przetwarzaniem danych osobowych w chmurze dotyczy możliwości sprawowania kontroli przez organizację będącą administratorem nad danymi przetwarzanymi w chmurze przez cloud providera.

Kto czuwa nad przetwarzaniem danych w Polsce?

www.beyond.pl

Administrator danych może bez przeszkód przekazać dane osobowe do państwa trzeciego, jeżeli:

1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,

2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

6) dane są ogólnie dostępne.

A w innym przypadku….

Kiedy administrator może przekazać dane?

www.beyond.pl

Przekazanie danych osobowych do Państw trzecich

Jeżeli firma np. cloud provider planuje przekazywać dane poza Europejski Obszar Gospodarczy (EOG) musi zastosować się do wymogów UE.

Dyrektywa Unii Europejskiej (95/46/WE1) pozwala na transfer danych osobowych do krajów spoza EOG, jeżeli państwo docelowe stwarza odpowiednie gwarancje ochrony danych osobowych na swoim terytorium.

Decyzję stwierdzającą odpowiedni stopień ochrony danych osobowych przez państwo trzecie wydaje Komisja Europejska.

Wg polskich norm, jeżeli państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może mieć miejsce tylko po uzyskaniu zgody GIODO, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy).

www.beyond.pl

Przekazanie danych do Państw trzecich (poza EOG), niespełniającym wymogów UE, może wiązać się z szeregiem zagrożeń, takich jak:

•  utrata kontroli nad danymi osobowymi,

•  niewystarczające informacje na temat tego, w jaki sposób, gdzie i przez kogo dane są przetwarzane,

•  dzieleniem się zasobami z innymi stronami przez przetwarzającego,

•  brakiem przejrzystości łańcucha outsourcingu obejmującego licznych przetwarzających i podprzetwarzających,

•  brakiem przejrzystości informacji, jakie administrator jest w stanie zapewnić osobie, której dane dotyczą na temat tego, jak przetwarzane są jej dane osobowe.

Zagrożenia związane z przechowywaniem danych za granicą

Przechowywanie danych poza UE – przypadek USA

Amerykańskie prawo nie gwarantuje standardów przechowywania danych spełniających wymogi Unii Europejskiej.

W odpowiedzi na te obostrzenia, ponad 16 lat temu wprowadzono program Safe Harbour, który umożliwił amerykańskim firmom przesyłanie danych obywateli Unii. 

Safe Harbour miało być swoistym kompromisem – program miał z jednej strony zapewnić swobodę prowadzenia działalności gospodarczej, a z drugiej zagwarantować Europejczykom ochronę ich prawa do prywatności.  "Bezpieczna przystań" była krytykowana nie raz, a m.in. afera Snowdena sygnalizowała, że nie jest to wystarczające zabezpieczenie.

www.beyond.pl

Kogo dotyczy Safe Harbour?

www.beyond.pl

Na wytycznych Safe Harbour opierała się dotąd polityka także największych amerykańskich gigantów z branży cloud computing.

 

“Amazon.com, Inc. and its controlled U.S. subsidiaries, including Amazon Web Services, Inc., are participants in the Safe Harbor program developed by the U.S. Department of Commerce and (1) the European Union and (2) Switzerland, respectively. Amazon has certified that we adhere to the Safe Harbor Privacy Principles agreed upon by the U.S. and (1) the European Union and (2) Switzerland, respectively. For more information about the Safe Harbor and to view our certification”

Źródło: https://aws.amazon.com/privacy/

  

“We then back those protections with strong contractual commitments to safeguard customer data by abiding by the EU Model Clauses, Safe Harbor programs, and ISO/IEC 27018 (which governs the processing of personal information).”

Źródło:https://azure.microsoft.com/en-us/support/trust-center/privacy/

Wraz z wyrokiem Trybunału Sprawiedliwości UE i zawieszeniem Safe Harbour powyższe wskazania tracą aktualność.

Nie łam prawa! Wybierz chmurę obliczeniową z Europy

www.beyond.pl

Bezpieczna chmura obliczeniowa

www.beyond.pl

Chmura dla Biznesu Beyond.pl

Chmura obliczeniowa dla firm, dostępna w 4 pakietach dostosowanych do zapotrzebowania. Zapewnia wszystkie korzyści oferowane przez chmurę obliczeniową przy zachowaniu pełnej kontroli i bezpieczeństwa aplikacji dla biznesu.

Chmura dla ekspertów e24cloud  e24cloud to infrastruktura na żądanie (IaaS), która umożliwia szybkie stworzenie, elastyczne skalowanie i łatwe zarządzanie mocą i przestrzenią obliczeniową dla dowolnych projektów IT. Wystarczy założyć konto i już można korzystać.

www.beyond.pl

Bezpieczna chmura obliczeniowa

Wszystkie elementy infrastruktury chmury obliczeniowej e24cloud / Beyond.pl znajdują się na terenie Polski. Wszystkie dane naszych klientów są przechowywane zgodnie z polskim czy europejskim prawem. Beyond.pl i e24cloud korzystają w 100% z polskiego kapitału i nie podlegają rozporządzeniom obowiązującym podmioty zza Oceanu PAMIĘTAJ! Wszyscy amerykańscy dostawcy usług cloud computing Podlegają regulacją PATRIOT ACT, które zobowiązują je do inwigilacji danych przez amerykański wywiad. Bez względu na miejsce przechowywania danych. Przenosząc swoje dane do e24cloud i beyond.pl , nie musisz się martwić o ich bezpieczeństwo a Twoja firma postępuje zgodne z regulacjami prawnymi.

www.beyond.pl

BIURO@BEYOND.PL T +48 61 859 70 07